Há cerca de um ano, em 3 de abril de 2018, o FSTEC da Rússia publicou . Aprovou o Regulamento do sistema de certificação de segurança da informação.
Isso determinou quem é participante do sistema de certificação. Também esclareceu a organização e o procedimento de certificação de produtos utilizados para proteger informações confidenciais que representam segredos de Estado, cujos meios de proteção também precisam ser certificados através do sistema especificado.
Então, o que exatamente o Regulamento se refere aos produtos que precisam ser certificados?
• Meios de combate à inteligência técnica estrangeira e meios de monitorização da eficácia da protecção da informação técnica.
• Ferramentas de segurança de TI, incluindo ferramentas seguras de processamento de informações.
Os participantes do sistema de certificação incluíram:
• Organismos credenciados pelo FSTEC.
• Laboratórios de testes credenciados pelo FSTEC.
• Fabricantes de ferramentas de segurança da informação.
Para obter a certificação, você deve seguir os seguintes passos:
• Solicitar certificação.
• Aguarde a decisão sobre a certificação.
• Passar nos testes de certificação.
• Elaborar um parecer pericial e um projeto de certificado de conformidade com base nos resultados.
O certificado pode então ser emitido ou recusado.
Além disso, em um caso ou outro, é feito o seguinte:
• Fornecer uma segunda via do certificado.
• Marcação de equipamentos de proteção.
• Fazer alterações em equipamentos de proteção já certificados.
• Renovação de certificado.
• Suspensão de certificado.
• Cessação da sua ação.
Deve-se citar o parágrafo 13 do Regulamento:
"13. Os testes de certificação de ferramentas de segurança da informação são realizados na base material e técnica do laboratório de testes, bem como na base material e técnica do requerente e (ou) fabricante localizado no território da Federação Russa.”
Não faz muito tempo, em 29 de março de 2019, o FSTEC publicou outro aprimoramento, intitulado “".
O documento modernizou o sistema de certificação de segurança da informação. Assim, foram aprovados os Requisitos de Segurança da Informação. Estabelecem níveis de confiança nos meios técnicos de proteção da informação e nos meios de segurança da tecnologia da informação. Eles, por sua vez, determinam as condições para o desenvolvimento e produção de ferramentas de segurança da informação, testes de ferramentas de segurança da informação, bem como para garantir a segurança das ferramentas de segurança da informação durante a sua utilização. Existem seis níveis de confiança no total. O nível mais baixo é o sexto. O mais alto é o primeiro.
Em primeiro lugar, os níveis de confiança destinam-se aos criadores e fabricantes de equipamentos de proteção, aos requerentes de certificação, bem como aos laboratórios de ensaio e aos organismos de certificação. A conformidade com os Requisitos de Nível de Confiança é obrigatória na certificação de ferramentas de segurança da informação.
Tudo isso entrará em vigor em 1º de junho de 2019. Em conexão com a aprovação dos Requisitos para o nível de confiança, o FSTEC não aceitará mais pedidos de certificação de equipamentos de segurança para conformidade com os requisitos do documento de orientação “Proteção contra pessoas não autorizadas acesso. Parte 1. Software de segurança da informação. Classificação de acordo com o nível de controle sobre a ausência de capacidades não declaradas.”
As medidas de segurança da informação correspondentes ao primeiro, segundo e terceiro níveis de confiança são utilizadas em sistemas de informação nos quais são processadas informações que contêm informações que constituem segredos de Estado.
A utilização de medidas de segurança do quarto ao sexto nível de confiança para GIS e ISPDn das classes/níveis de segurança correspondentes são apresentadas na tabela:
Deve ser dada especial atenção ao seguinte:
“A validade dos certificados de conformidade de meios de segurança da informação para os quais a avaliação de conformidade especificada não será realizada antes de 1º de janeiro de 2020 com base na cláusula 83 do Regulamento sobre certificação de meios de segurança da informação, aprovado por despacho do FSTEC da Rússia datada de 3 de abril de 2018 nº 55, pode ser suspensa."
Enquanto os legisladores continuam a trabalhar em melhorias nos requisitos de certificação, fornecemos , atendendo a todos os requisitos das leis adotadas. A solução oferece uma infraestrutura já preparada, uma solução pronta para atendimento à Lei Federal 152.
Fonte: habr.com